蓝牙漏洞利用可以跟踪iOS和macOS设备
与蓝牙连接相关的一种新漏洞可以追踪某些设备,包括苹果和微软的设备。据 ZDNet称,蓝牙通信协议中存在一个安全漏洞,该漏洞不仅可以跟踪某些设备,而且可以识别设备所有者。该发现是由波士顿大学的研究人员做出的。
对于苹果公司而言,这意味着该漏洞利用程序可以跟踪和识别iPhone,Mac,iPad甚至Apple Watch。同时,从微软的角度来看,它包括平板电脑和PC。不包括哪些设备?Google的Android。
初始报告详细说明了所有工作原理,首先是蓝牙设备使用公共通道向其他设备展示其存在。为了防止基于此的跟踪,大多数设备都广播一个随机地址,该地址以随机间隔自动更改,该地址不同于媒体访问控制(MAC)地址。
这在Apple和Microsoft设备上仍在发生。但是,该报告指出,有可能揭示识别令牌,这些令牌可能使某些恶意个人滥用指示地址更改的地址携带算法。
根据追踪匿名蓝牙设备(.PDF)的研究论文,许多蓝牙设备在宣传其存在时会使用MAC地址来防止长期跟踪,但是该团队发现可以绕开这些地址的随机性以永久地监视特定的设备。
识别令牌通常与MAC地址一起使用,并且由波士顿大学开发的一种新算法称为地址携带算法,能够“利用有效负载和地址更改的异步特性来实现超出设备地址随机化的跟踪”。
至于Android,它没有使用与Apple和Microsoft相同的方法来宣传蓝牙设备。因此,Android不受此特定漏洞的威胁。
该研究论文本身确实对如何缓解该漏洞提出了建议,苹果公司有可能在不久的将来以某种方式修补该问题。